Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ recursos compartidos de archivos SMB
En este artículo se explica cómo puede usar la autenticación basada en identidades, ya sea local o en Azure, para habilitar el acceso basado en identidades a Azure Files a través del protocolo bloque de mensajes del servidor (SMB). Al igual que los servidores de archivos de Windows, puede otorgar permisos a una identidad a nivel de compartido, directorio o archivo. No hay ningún cargo adicional por el servicio para habilitar la autenticación basada en identidades en la cuenta de almacenamiento.
Azure Files admite la autenticación basada en identidades a través de SMB para clientes Windows, Linux y macOS. Azure Files no admite actualmente la autenticación basada en identidades para los recursos compartidos de archivos del Sistema de archivos de red (NFS).
Importante
Por motivos de seguridad, use la autenticación basada en identidades para acceder a los recursos compartidos de archivos en lugar de a la clave de la cuenta de almacenamiento. Nunca comparta las claves de la cuenta de almacenamiento.
Funcionamiento
Azure Files usa el protocolo Kerberos para autenticarse con un origen de identidad. Cuando una identidad asociada a un usuario o aplicación que se ejecuta en un cliente intenta acceder a los datos de Azure Files, la solicitud se envía al origen de identidad para autenticar la identidad. Si la autenticación se realiza correctamente, la fuente de identidad devuelve un vale de Kerberos. A continuación, el cliente envía una solicitud que incluye el vale kerberos y Azure Files usa ese vale para autorizar la solicitud. El servicio Azure Files solo recibe el vale kerberos, no las credenciales de acceso del usuario.
Casos de uso comunes
La autenticación basada en identidades con recursos compartidos de archivos de Azure SMB puede ser útil en una variedad de escenarios:
Reemplazo de servidores de archivos locales
Reemplazar los servidores de archivos locales dispersos es un desafío que cada organización enfrenta durante su recorrido de modernización de TI. El uso de la autenticación basada en identidades con Azure Files proporciona una experiencia de migración sin problemas, lo que permite a los usuarios finales seguir accediendo a sus datos con las mismas credenciales.
Elevación y desplazamiento de aplicaciones a Azure
Al migrar y desplazar aplicaciones a la nube, es probable que desee mantener el mismo modelo de autenticación para el acceso al recurso compartido de archivos. La autenticación basada en identidades elimina la necesidad de cambiar el servicio de directorio, lo que acelera la adopción de la nube.
Copia de seguridad y recuperación ante desastres (DR)
Si mantiene el almacenamiento de archivos principal en el entorno local, Azure Files es una solución ideal para la copia de seguridad y recuperación ante desastres para mejorar la continuidad empresarial. Puede usar comparticiones de archivos de Azure para realizar copias de seguridad de los servidores de archivos al tiempo que conserva las listas de control de acceso discrecional de Windows (DACL). En escenarios de recuperación ante desastres, puede configurar una opción de autenticación para garantizar un cumplimiento adecuado del control de acceso durante el failover.
Elección de un origen de identidad para la cuenta de almacenamiento
Antes de habilitar la autenticación basada en identidades en la cuenta de almacenamiento, decida qué origen de identidad usar. La mayoría de las empresas y organizaciones tienen algún tipo de entorno de dominio configurado, por lo que es probable que ya tenga uno. Consulte el Active Directory (AD) o el administrador de TI para asegurarse de ello. Si aún no tiene un origen de identidad, debe configurar uno para poder habilitar la autenticación basada en identidades.
Escenarios de autenticación admitidos
Puede habilitar la autenticación basada en identidades a través de SMB mediante uno de los tres orígenes de identidad: On-premises Active Directory Domain Services (AD DS), Microsoft Entra Domain Services o Microsoft Entra Kerberos. Solo puede usar un origen de identidad para la autenticación de acceso a los archivos por cada cuenta de almacenamiento y se aplica a todas las comparticiones de archivos en la cuenta.
AD DS local: La cuenta de almacenamiento se une a AD DS local. Las identidades de los Servicios de Dominio de Active Directory (AD DS) pueden acceder de forma segura a las comparticiones de archivos Azure SMB desde un cliente unido al dominio o un cliente que tenga conexión ininterrumpida con el controlador de dominio. El entorno local de AD DS debe estar sincronizado con Microsoft Entra ID mediante el uso de la aplicación Microsoft Entra Connect o Microsoft Entra Connect sincronización en la nube, un agente ligero que se puede instalar desde el Centro de administración de Microsoft Entra. Consulte la lista completa de requisitos previos.
Microsoft Entra Kerberos: Puede usar Microsoft Entra ID para autenticar hybrid o identidades solo en la nube (versión preliminar), lo que permite a los usuarios finales acceder a recursos compartidos de archivos Azure. Si quiere autenticar identidades híbridas, necesita una implementación de AD DS existente, que luego se sincroniza con el inquilino de Microsoft Entra. Consulte los requisitos previos.
Microsoft Entra Domain Services: máquinas virtuales basadas en la nube unidas a Microsoft Entra Domain Services pueden acceder a recursos compartidos de archivos Azure con credenciales de Microsoft Entra. En esta solución, Microsoft Entra ID ejecuta un dominio tradicional de Windows Server AD que es un elemento secundario del inquilino de Microsoft Entra del cliente. Consulte los requisitos previos.
Use las instrucciones siguientes para determinar qué origen de identidad debe elegir.
Si su organización ya tiene un on-premises Active Directory y no está listo para mover identidades a la nube, y si los clientes, las máquinas virtuales y las aplicaciones están unidos a un dominio o tienen conectividad de red no impedida a esos controladores de dominio, elija AD DS.
Si algunos o todos los clientes no tienen conectividad de red no impedida con AD DS o si almacena perfiles de FSLogix en recursos compartidos de archivos Azure para máquinas virtuales unidas a Microsoft Entra, elija Microsoft Entra Kerberos.
Si tiene una on-premises Active Directory existente, pero planea mover aplicaciones a la nube y desea que las identidades existan tanto en el entorno local como en la nube (híbrida), elija Microsoft Entra Kerberos.
Si desea autenticar identidades solo en la nube sin usar controladores de dominio, elija Microsoft Entra Kerberos. Esta funcionalidad actualmente está en su versión preliminar.
Si ya usa Microsoft Entra Domain Services, elija Microsoft Entra Domain Services como origen de identidad.
Habilitación de un origen de identidad
Después de elegir un origen de identidad, habilítelo en la cuenta de almacenamiento.
AD DS
Para la autenticación de AD DS, puede hospedar los controladores de dominio de AD en máquinas virtuales de Azure o en las instalaciones. En cualquier caso, los clientes deben tener conectividad de red sin obstáculos al controlador de dominio, por lo que deben estar dentro de la red corporativa o la red virtual (VNET) del servicio de dominio. Se recomienda unir un dominio a las máquinas cliente o máquinas virtuales para que los usuarios no tengan que proporcionar credenciales explícitas cada vez que accedan al recurso compartido.
En el diagrama siguiente se demuestra la autenticación de AD DS en las instalaciones para comparticiones de archivos Azure a través de SMB. AD DS local debe sincronizarse con Microsoft Entra ID mediante Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync. Solo las identidades de usuario hybrid que existen tanto en AD DS local como en Microsoft Entra ID se pueden autenticar y autorizar para Azure acceso al recurso compartido de archivos. Esto se debe a que el permiso a nivel de compartición se configura con la identidad representada en Microsoft Entra ID, mientras que el permiso a nivel de directorio/archivo se aplica con ese en AD DS. Asegúrese de configurar los permisos correctamente con el mismo usuario híbrido.
Para habilitar la autenticación de AD DS, lea primero Overview: autenticación local Active Directory Domain Services a través de SMB para recursos compartidos de archivos Azure y, a continuación, consulte Enable AD DS authentication for Azure file shares.
Microsoft Entra Kerberos
Al habilitar y configurar Entra ID para autenticar identidades hybrid o solo en la nube (versión preliminar), los usuarios de Entra pueden acceder a recursos compartidos de archivos de Azure mediante la autenticación Kerberos. Esta configuración utiliza Entra ID para emitir los tickets de Kerberos para acceder al uso compartido de archivos mediante el protocolo SMB estándar del sector. Esto significa que los usuarios finales pueden acceder a recursos compartidos de archivos de Azure sin necesidad de conectividad de red con los controladores de dominio.
Importante
Para usar Entra Kerberos para autenticar identidades híbridas, necesita una implementación tradicional de AD DS. Debe sincronizarlo con Entra ID mediante Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync. Los clientes deben estar unidos a Entra o unidos a Microsoft Entra de manera híbrida.
En el diagrama siguiente se representa el flujo de trabajo para la autenticación Entra Kerberos para identidades híbridas (es decir, no solo en la nube) a través de SMB.
Para obtener más información, consulte Habilitar la autenticación Kerberos de Microsoft Entra en Azure Files.
También puede usar esta característica para almacenar perfiles de FSLogix en recursos compartidos de archivos Azure para máquinas virtuales unidas a Entra. Para obtener más información, consulte Almacenar contenedores de perfiles de FSLogix en Azure Files usando Microsoft Entra ID.
Servicios de dominio de Microsoft Entra
Para la autenticación de los servicios de dominio de Microsoft Entra, debe habilitar Microsoft Entra Domain Services y unir las máquinas virtuales al dominio que accederán a los recursos compartidos de archivos de Azure mediante la autenticación Kerberos. Estas máquinas virtuales deben tener conectividad de red con el dominio administrado de Microsoft Entra Domain Services.
El flujo de autenticación es similar a la autenticación de AD DS local, con las siguientes diferencias:
- El proceso crea automáticamente la identidad de la cuenta de almacenamiento durante la habilitación.
- Todos los usuarios de Entra ID pueden autenticarse y autorizarse. Los usuarios pueden ser híbridos o estar solo en la nube. La plataforma administra la sincronización de usuarios de Entra ID a Domain Services.
Requisitos de acceso para Microsoft Entra Domain Services
Los clientes deben cumplir los siguientes requisitos para autenticarse mediante la autenticación de Domain Services.
- La autenticación Kerberos requiere que el cliente esté unido al dominio administrado de Domain Services.
- Los clientes ajenos a Azure no pueden unirse al dominio gestionado de Domain Services.
- Los clientes que no están unidas a un dominio aún pueden acceder a las comparticiones de archivos de Azure mediante credenciales explícitas. Esto es posible solo si el cliente tiene conectividad de red sin obstáculos hacia los controladores de dominio de los Servicios de Dominio, por ejemplo, a través de una VPN u otras conexiones admitidas.
Para obtener más información, consulte Enable Microsoft Entra Domain Services authentication on Azure Files.